Navn: W32.NetSky-D.worm
Alias:
Udsendt: 01-03-2004 13:29:16
Type: Worm
Spredning: Medium
Ødelæggelse: Lav
Sårbare klienter: Windows 2000
Windows 95
Windows 98
Windows ME
Windows XP
Vedhæftede filer: your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Størrelse: ~17 KB
Disinfektion:
Opdaget: 01-03-2004 13:20:33
Beskrivelse:
W32.NetSky-D.worm, er en variant i Netsky Familien. Koden er skrevet i
Microsoft Visual C++, pakket med Petite og fylder 17424 bytes. I lighed
med tidligere versioner af denne orm indeholder den sin egen SMTP
server, som den anvender til at videresende sig fra inficerede systemer
til andre modtagere.
Følgende kan ske ved inficering:
Kraftig udsendelse af virus inficeret e-mails fra det inficerede
system.
Ormen opretter følgende filer på det inficerede system:
[%windowsmappen%]/WINLOGON.EXE (en kopi af ormen).
Ormen indsætter følgende i registreringsdatabasen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ICQ Net="[%windows mappen%]\winlogon.exe -stealth"
Beskrivelse: Dette får ormen til at starte sammen med windows.
Teknisk Beskrivelse:
En email indeholdende ormen sammensættes ud fra følgende:
Fra: [En spoofet/forfalsket adresse]
Emne: [en af følgende kombinationer]
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
Indhold: [en af følgende kombinationer]
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
Vedhæftet: [en af følgende kombinationer]
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
I forbindelse med ormens mailingrutine foretager ormen et DNS opslag på
følgende IP adresser:
212.44.160.8, 195.185.185.195, 151.189.13.35, 213.191.74.19,
193.189.244.205, 145.253.2.171, 193.141.40.42, 194.25.2.134,
194.25.2.133, 194.25.2.132, 194.25.2.131, 193.193.158.10, 212.7.128.165,
212.7.128.162, 193.193.144.12, 217.5.97.137, 195.20.224.234,
194.25.2.130, 194.25.2.129, 212.185.252.136, 212.185.253.70,
212.185.252.73, 62.155.255.16.
W32.NetSky-D.worm sletter ligesom forgængeren, Mydoom fra inficerede
systemer. Det sker ved at dræbe programmet og slette forskellige værdier
i registreringsdatabasen som oprettes af Mydoom ormen.
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]=
d3dupdate.exe, au.exe, OLE, Windows Services Host
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]=
msgsvr32, DELETE ME, service, Sentry, Windows Services Host.
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSe
rver32]=
[%windows systemappen%]\Webcheck.dll"
samt
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]
[HKLM\System\CurrentControlSet\Services\WksPatch]
Men derudover dræber denne variant også tidligere familiemedlemer. Både
NetSky A og B vil blive slettet fra systemet ligesom MiMail-T.
Ormen indeholder følgende tekststreng som aldrig vises:
be aware! Skynet.cz - -->AntiHacker Crew<--
Fjernelse:
Stop processen: winlogon.exe i joblisten.
Slet følgende fil: %windows mappen%\winlogon.exe
Vælg start -> kør -> skriv: regedit -> tryk ok.
Find nøglen:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
Og slet: "ICQ Net"
Genstart herefter computeren.
|